El plugin Miniorange OTP Verification with Firebase para WordPress es vulnerable a Cambio de Contraseña Arbitrario de Usuario en versiones hasta, e incluyendo, la 3.6.0. Esto se debe a que el plugin proporciona acceso controlado por el usuario a objetos, permitiendo a un usuario eludir la autorización y acceder a recursos del sistema, y la verificación de contraseña actual del usuario está ausente. Esto hace posible que atacantes no autenticados cambien contraseñas de usuario y potencialmente se hagan cargo de cuentas de administrador.
La vulnerabilidad CVE-2024-9862 en el plugin Miniorange OTP Verification with Firebase <= 3.6.0 permite a atacantes no autenticados cambiar las contraseñas de los usuarios e incluso tomar el control de cuentas de administrador. Los usuarios afectados por esta vulnerabilidad deben desactivar el plugin de forma inmediata y buscar una actualización que parchee esta vulnerabilidad. Además, se recomienda cambiar todas las contraseñas de los usuarios afectados y monitorear cualquier actividad sospechosa en sus cuentas.
Es crucial mantener todos los plugins y temas de WordPress actualizados y realizar auditorías de seguridad de forma regular para proteger su sitio contra vulnerabilidades conocidas. Si ha sido afectado por esta vulnerabilidad, siga los pasos recomendados para mitigar el impacto y fortalecer la seguridad de su sitio WordPress.